Το Yahoo έχει διορθώσει ένα ελάττωμα στο Υπηρεσία αλληλογραφίας που θα μπορούσαν να επιτρέψουν στους χάκερ να παρακολουθούν τα email των χρηστών σχεδόν ένα χρόνο μετά την αποκάλυψη και την επιδιόρθωση του ίδιου σφάλματος. Ο Jouko Pynnonen από τη Φινλανδία έλαβε 10.000 $ από το Yahoo για την αποκάλυψη της νέας ευπάθειας, την οποία η Yahoo διόρθωσε τον περασμένο μήνα.
Το ελάττωμα αφορούσε μια επίθεση δέσμης ενεργειών μεταξύ ιστότοπων που έδωσε στον εισβολέα την άδεια να διαβάσει το email ενός χρήστη ή να δημιουργήσει έναν ιό για να μολύνει λογαριασμούς στο Yahoo Mail. Ο Pynnonen εξήγησε ότι ένας χρήστης πρέπει να δει το email από έναν εισβολέα για να λειτουργήσει το σφάλμα.
Το σφάλμα ήταν παρόμοιο με ένα παλιό ελάττωμα του Yahoo Mail που ανακάλυψε ο Pynnonen πέρυσι που θα μπορούσε να δώσει στους χάκερ πλήρη έλεγχο ενός λογαριασμού στο Yahoo Mail.
Αδυναμία στα φίλτρα Yahoo
Ο Pynnonen ανέφερε ένα μειονέκτημα στο φίλτρο του Yahoo για μηνύματα HTML ως ένοχος για την τελευταία ευπάθεια. Το φίλτρο λειτουργεί για τον αποκλεισμό κακόβουλου κώδικα από το πρόγραμμα περιήγησης του χρήστη. Σύμφωνα με τον ερευνητή, το φίλτρο απέτυχε να καταγράψει όλα τα κακόβουλα χαρακτηριστικά δεδομένων. Ένας χάκερ θα μπορούσε τότε να εκτελέσει κακόβουλη JavaScript στέλνοντας ένα προσαρμοσμένο email στο θύμα.
Ο ερευνητής ανακάλυψε το ελάττωμα στην προβολή σύνθεσης email, όπου διάφορες επιλογές συνημμένων επέστησαν την προσοχή του σε πιθανό σφάλμα στο βασικό φιλτράρισμα HTML. Στη συνέχεια, ο Pynnonen δημιούργησε ένα email με διάφορα συνημμένα και έστειλε το μήνυμα σε ένα εξωτερικό γραμματοκιβώτιο. Κατά την επιθεώρηση του ακατέργαστος HTML που περιέχεται στο email, κάποια κακόβουλα χαρακτηριστικά τράβηξαν την προσοχή του.
«Αυτό που με εντυπωσίασε ήταν τα δεδομένα * * HTML. Πρώτον, συνειδητοποίησα ότι η προσπάθεια του προηγούμενου έτους να απαριθμήσω τα χαρακτηριστικά HTML που επιτρέπονται από το φίλτρο του Yahoo δεν τα πήρε όλα. "
Ο Pynnonen θεώρησε ότι ήταν δυνατό να ενσωματωθούν πολλά χαρακτηριστικά HTML που θα περνούσαν μέσω του φίλτρου HTML του Yahoo. Βρήκε τελικά μια παθολογική περίπτωση μετά τη σύνταξη ενός email με καταχρηστικά χαρακτηριστικά- * χαρακτηριστικά.
Το Yahoo δέχτηκε πυρκαγιά νωρίτερα φέτος μετά από αναφορές που δείχνουν ότι τουλάχιστον 200 εκατομμύρια λογαριασμοί αλληλογραφίας πουλήθηκαν στο σκοτεινό web
Διαβάστε επίσης:
- Πώς να συνδεθείτε στα Windows 10 Mail με λογαριασμό Yahoo
- Η εφαρμογή Yahoo Mail για Windows 10 συγχρονίζει πλέον επαφές με το Microsoft People
